Kyberkriminalita dnes funguje jako vysoce efektivní globální byznys, v němž relativně levné útoky dokážou způsobit organizacím škody v řádech milionů. Proč firmy systematicky podceňují prevenci, jak se mění hrozby s nástupem automatizace a umělé inteligence a kde leží největší rizika do budoucna? Na tyto otázky odpovídá Chester Wisniewski, CTO společnosti Sophos.
Útoky, jejichž realizace stojí útočníky stovky až tisíce dolarů, dnes běžně způsobují firmám ztráty v řádech miliónů. Proč organizace přesto dlouhodobě investují do prevence méně, než kolik je nakonec stojí řešení důsledků bezpečnostních incidentů?
Je těžké to zobecnit, ale v řadě případů, se kterými jsem se osobně setkal, hraje roli podcenění reality hrozeb. Organizace často věří, že jsou příliš malé nebo nezajímavé na to, aby se staly cílem sofistikovaných útočníků. S rostoucí komplexitou hrozeb navíc přetrvává mylná představa, že bezpečnost je pouze „vedlejší“ funkcí IT oddělení. Ve skutečnosti je nutné obranu udržovat nepřetržitě v režimu 24/7 a disponovat specializovanými dovednostmi. Právě malé a střední firmy proto dosahují lepších výsledků, pokud využívají MDR služby nebo spolupracují s poskytovateli řízených bezpečnostních služeb (MSSP), kteří jim pomáhají bezpečnost aktivně spravovat a monitorovat.
Jak automatizace založená na umělé inteligenci mění charakter kybernetických útoků? Jsou rychlejší, adaptivnější a hůře zvládnutelné než dříve?
Dopad AI je zatím spíše omezený, ale očekáváme, že jejím hlavním přínosem pro útočníky bude zrychlení útoků, nikoli nutně jejich vyšší sofistikovanost. Už dnes vidíme, že AI pomáhá vytvářet profesionálněji vypadající phishingové e-maily s menším množstvím jazykových chyb, což je obzvlášť patrné v neanglicky mluvících zemích. Lze také očekávat nárůst deepfake technik, jejichž cílem je manipulovat lidi k tomu, aby za útočníky vykonali špinavou práci.
Zároveň se objevují náznaky, že méně zkušení útočníci využívají AI jako vstupní bod do světa kyberkriminality. Obrana proti takovým aktérům se ale v zásadě neliší od obrany proti etablovaným skupinám. Větší množství útoků spíše povede k tomu, že zranitelnosti budou objevovány a zneužívány rychleji.
Služby typu DDoS-for-hire nebo ransomware-as-a-service zásadně mění rizikový profil firem. Učinily podle vás kyberkriminalitu dostupnější a rozšířenější než kdy dříve?
Ano, vstupní bariéra do „kariéry“ kyberzločince je dnes extrémně nízká. Prakticky kdokoli se zlým úmyslem si může velmi snadno najít cestu k trestné činnosti. To výrazně přispívá k rychlosti, s jakou jsou napadány nedostatečně zabezpečené systémy.
Velké DDoS útoky na úrovni sítí či aplikací lze spustit za relativně nízké náklady. Jsou na tuto trvalou hrozbu připraveny systémy kritické infrastruktury a klíčové digitální služby?
Masivní DDoS útoky jsou levně dostupné už téměř dvacet let. Organizace, které jsou vůči nim zranitelné, musely už dávno nasadit CDN (Content Delivery Network, síť pro doručování obsahu, která rozprostírá provoz a pomáhá chránit servery před přetížením) a další mechanismy pro zmírnění dopadů takového útoku. Existuje však obava, že se tím internet stále více centralizuje kolem malého počtu velkých poskytovatelů, kteří jsou schopni tato rizika zvládat. Pokud u nich dojde k výpadku, může to způsobit rozsáhlé a plošné problémy s dostupností služeb.
Proč dnes nestačí bezpečnostní strategie, které se opírají především o reakci na incidenty, zejména v prostředí masivních botnetů a automatizovaných útoků?
Přílišný důraz na čistě reaktivní přístup je extrémně náročný na lidské zdroje a vyžaduje velké množství vysoce kvalifikovaných odborníků. Naše zkušenosti ukazují, že organizace dosahují lepších výsledků při vyváženém přístupu, kde má prevence klíčovou roli. Lidé jsou nezastupitelní při řešení složitějších incidentů, ale fungují nejlépe tehdy, když nemusí zpracovávat obrovské množství bezpečnostních upozornění. Strategie orientovaná primárně na prevenci snižuje únavu z alertů a umožňuje lidskou pozornost soustředit na skutečně kritické situace.
Jakou roli dnes hrají analýza síťového provozu, strojové učení a real-time analytika při včasné detekci a zmírnění útoků, jako je ransomware nebo zneužití zranitelností?
Moderní firewally a řešení na ochranu koncových bodů se postupně odklánějí od detekce konkrétních hrozeb směrem k behaviorálním a machine learning přístupům. Vidíme také rostoucí adopci NDR technologií, které posilují obranu založenou na více vrstvách. Klíčové je však mít k dispozici vyškolený personál, který dokáže na včasné signály okamžitě reagovat. Mnoho organizací sice získává časné indikace škodlivé aktivity, ale není připraveno na efektivní reakci. Monitoring a schopnost rychlé odezvy jsou proto zásadní, pokud chce organizace plně využít potenciálu těchto technologií.
Na základě vašich dosavadních zkušeností, jaká rizika mohou organizace pravděpodobně nejvíce podceňovat v příštích letech, pokud jde například o zero-day zranitelnosti, distribuované útoky a neustálý vývoj útočných technik?
Z mého pohledu budou klíčové dva faktory: rychlost a lidé. Útočníci budou nadále zvyšovat míru automatizace – ať už s využitím AI, nebo bez ní – což povede k tomu, že neaktualizované systémy a chybné konfigurace budou objevovány stále rychleji. Jakmile útočníci získají první přístup, dokážou se čím dál rychleji dostat k administrátorským oprávněním i citlivým datům.
Hlavní vstupní branou zůstává krádež přihlašovacích údajů, phishing a hádání hesel, přičemž tento trend se bude ještě zhoršovat s propracovanějšími phishingovými kampaněmi, deepfaky a dalšími technikami zaměřenými na lidský faktor. Přechod na autentizaci odolnou vůči phishingu, jako jsou passkeys nebo řešení kompatibilní se standardem FIDO2, bude zásadní pro omezení neoprávněných přístupů.
